Circa un anno fa avevamo discusso della “truffa” legata a Honey e PayPal, con un video che pubblicai sul mio canale YouTube Ferry, e a distanza di un anno devo ammettere che quello che sembrava un "piano malefico", ha oggi assunto l'aspetto di qualcosa di ben più articolato.
Il merito è di "MegaLag", creator e giornalista che ha condotto un'accurata indagine su quello che è Honey, applicazione di Paypal che, come raccontavo lo scorso anno, era attorniata da una strana aura, al punto che molti si domandarono se non ci fossero gli estremi per un caso di truffa.
Ebbene, come detto, la situazione è persino più drammatica e complicata di quanto non sembrasse.
La situazione un anno fa
Prima di partire, direi che è il caso di fare un velocissimo recap per chi non avesse seguito la vicenda. Honey è un’applicazione acquistata da PayPal nel 2020 per la cifra astronomica di 4 miliardi di dollari. Si tratta di un'estensione per browser che promette di recuperare coupon sconto per gli shop online, garantendo un risparmio all'utente. La prima indagine aveva però mostrato che Honey svolgeva questa attività solo di facciata: per ogni singolo shop, l'estensione andava a modificare e iniettare codici di affiliazione propri, o a sovrascrivere altri codici esistenti, appropriandosi indebitamente delle commissioni di vendita.
In breve: se un utente acquistava un prodotto passando da un link affiliato che avrebbe dovuto remunerare un creatore di contenuti, ma aveva Honey installato, quel creatore non guadagnava più nulla perché i soldi venivano dirottati a PayPal Honey.
Il problema non riguardava solo l’influencer o il sito "derubato" della commissione a sua insaputa, ma anche il singolo utente. Perché Honey non solo non faceva quanto promesso, ma toglieva anche la possibilità consapevole, da parte dell'utente, di poter supportare un influencer o un sito tramite i link affiliati.
Persino qualora l'utente avesse deciso di non supportare nessuno rifiutando un link affiliato, Honey agiva comunque a sua insaputa.
Questa era la situazione un anno fa, ma ora il caso è diventato ancora più assurdo a causa di nuove scoperte.
Va per altro detto che, dopo le prime indagini avviate lo scorso anno, Honey ha perso milioni di utenti, e Google ha aggiornato le policy del Chrome Web Store limitando comportamenti abusivi nel tracciamento e nell’attribuzione delle commissioni. Inoltre, sia contro PayPal che contro Honey sono state depositate oltre venti class action negli Stati Uniti, con accuse che spaziano dall’intercettazione illegale dei dati alla concorrenza sleale e alla frode ai consumatori.
La risposta di PayPal è stata denunciare MegaLag chiedendo la rimozione dei contenuti, ottenendo come risultato un ulteriore video di denuncia ancora più dettagliato.
L’inganno ai consumatori
Honey viene presentata da anni come uno strumento semplice e “amico dell’utente”: un’estensione gratuita che promette di trovare automaticamente i migliori coupon disponibili al momento del checkout. Tuttavia, secondo le prove raccolte, non solo Honey non garantirebbe i migliori sconti, ma avrebbe un incentivo diretto a non mostrarli.
Quando l’utente clicca su “Apply coupons”, Honey tenta di caricare in background un referral affiliato, simulando un click che serve a rivendicare la commissione sulla vendita. In molti casi, però, i coupon applicati non risultano essere i più vantaggiosi disponibili; in altri casi Honey segnala semplicemente che “non ci sono codici”, anche quando sconti migliori esistono e sono reperibili manualmente.
Secondo l’indagine, questo non sarebbe un limite tecnico, ma una precisa scelta economica: applicare uno sconto elevato riduce il margine totale e, di conseguenza, il valore della commissione che Honey incassa. Il risultato è che l’utente crede di aver ottenuto il miglior prezzo possibile, quando in realtà sta accettando il miglior compromesso per Honey, non per il consumatore.
Il danno agli shop
Se per i creator il danno è una sottrazione di commissioni, esiste un danno enorme anche per gli shop. L’indagine mostra come Honey abbia raccolto e distribuito codici sconto senza il consenso dei negozi, includendo e rendendo pubblici dei coupon privati destinati a clienti VIP, dipendenti, amici, familiari o categorie come i militari. Si tratta di codici che non erano mai stati pensati per una diffusione pubblica.
Se uno shop crea un coupon per i propri dipendenti come regalo di Natale, ad esempio uno sconto dell'80% che implica una vendita in perdita, e questo codice diventa pubblico, il danno economico è ingente. Oppure, nel caso di un coupon da 100 euro su una lista ristretta di prodotti per amici, distribuito senza regole ferree perché destinato a pochi intimi, la sua diffusione pubblica può innescare vendite a costo zero se il valore del prodotto è inferiore allo sconto. Non è colpa dello shop per non aver impostato regole complesse, poiché quel coupon doveva restare privato.
L’indagine ricostruisce anche il meccanismo tecnico: Honey monitora ciò che gli utenti digitano nel campo “promo code” e, nel momento stesso in cui un codice viene inserito, lo invia ai propri server in tempo reale, senza alcun altro input. Questo comportamento è verificato sia tramite analisi di rete sia attraverso il codice interno individuato nell’app iOS. La stessa privacy policy di Honey conferma, seppur vagamente, che la raccolta di coupon e codici promozionali rientra nei dati acquisiti.
C'è poi un problema di attribuzione marketing. I piccoli business usano i coupon per valutare le collaborazioni con gli influencer. Se un codice viene "aspirato" da Honey e riproposto a chiunque automaticamente, si crea un doppio danno: margini erosi dall’uso esteso e non previsto del coupon, e commissioni gonfiate pagate all’influencer di turno, che però non ha alcun merito per aver portato quella vendita. Diventa così impossibile capire se una partnership sia stata proficua o meno.
È stato dimostrato chiaramente che PayPal Honey possiede una lista di circa 180.000 shop che "tiene d’occhio" e a cui applica questo meccanismo. Molti di questi non hanno mai deciso di entrare in tale lista e si rendono conto della situazione solo notando incongruenze nelle vendite, o l'abuso di coupon interni. E quando lo shop contatta PayPal per chiedere la rimozione, la risposta degli addetti è sconcertante: rifiutano la rimozione a meno che lo shop non decida di affiliarsi a pagamento.
Il ricatto
Honey dichiara pubblicamente di supportare circa 30.000 store partecipanti al servizio, mentre nella sezione business parla di 10.000 brand partner. Tuttavia, analizzando il file dell’estensione, compare una lista di oltre 180.000 negozi online. Per ciascun dominio, Honey conserva metadati dettagliati: numero di visitatori negli ultimi 30 giorni, presenza o assenza di un link affiliato, note interne di supporto e monetizzazione.
Di questi circa 180.000, solo 35.000 store hanno un link affiliato attivo (ovvero una partnership dove Honey inietta il codice per la commissione), mentre per 146.000 non c’è alcun accordo, ma sono comunque inclusi nella piattaforma. Questo dato è centrale perché chiarisce il modello oscuro alle spalle del servizio. Honey non aggiunge store solo quando esiste un accordo commerciale, ma li ingloba a loro insaputa. I negozi scoprono di essere su Honey solo quando si accorgono che un loro coupon privato è diventato pubblico.
Quando i proprietari chiedono spiegazioni e pretendono la rimozione, PayPal Honey risponde ponendo una condizione: se vogliono avere il controllo sui loro coupon, devono sottoscrivere una partnership. In pratica, bisogna pagare per recuperare il controllo di qualcosa che è stato sottratto.
Sembra inoltre che la resistenza alla rimozione sia legata al traffico: più il sito è grande, più cercano di obbligarlo ad affiliarsi. Honey conosce esattamente volumi e spesa degli utenti, "rubando" questi dati direttamente dal browser. I brand, quindi, non pagano per essere inclusi, ma pagano per limitare i danni. La quantità di casi e le prove tecniche lasciano poco spazio all'errore di gestione: sembra un modello di business progettato a tavolino, il che giustificherebbe i 4 miliardi spesi da PayPal per un enorme servizio di data intelligence basato su pratiche predatorie.
La razzia di dati
È proprio quest’ultimo punto che vale la pena approfondire, perché Honey non si limita a osservare il momento del checkout, ma traccia in modo continuativo il comportamento di navigazione degli utenti su tutti i siti che classifica come negozi online. A lanciare l’allarme in passato era stata addirittura Amazon, mentre conferme più dettagliate arrivano da un’indagine indipendente dell’organizzazione tedesca DataRequests, che ha utilizzato il diritto di accesso previsto dal GDPR.
Creando utenti di test e richiedendo i dati, si è scoperto che Honey registrava URL completi, timestamp, identificativi unici, informazioni su dispositivo e sistema operativo, posizione approssimativa e cronologia di navigazione su migliaia di pagine. Da questi log è possibile ricostruire abitudini personali, acquisti, interessi, viaggi, problemi tecnici e perfino contenuti multimediali fruiti.
Questa raccolta avveniva anche su utenti non registrati, suggerendo che la sola installazione dell’estensione fosse sufficiente a far partire il tracciamento. L’indagine collega PayPal Honey direttamente alla strategia di PayPal: i dati di “cross-shopping” (i confronti tra più store prima di un acquisto) sono considerati un asset fondamentale per vendere servizi pubblicitari. Non a caso PayPal ha annunciato il lancio di una propria rete pubblicitaria basata sulla cronologia degli acquisti, includendo le piattaforme controllate come Honey.
Il quadro diventa ancora più grave quando entra in gioco il tema dei minori. La privacy policy di Honey dichiara che il servizio è destinato esclusivamente a utenti sopra i 18 anni, ma le campagne pubblicitarie raccontano altro.
Honey ha sponsorizzato in modo massiccio creator con pubblico prevalentemente minorenne, come MrBeast, con messaggi espliciti che invitavano a installare Honey su tutti i computer di casa, inclusi quelli di fratelli e sorelle. L’indagine documenta anche sponsorizzazioni dirette a creator minorenni e canali legati a Minecraft e Roblox.
Va sottolineato che PayPal Honey è il caso più eclatante, ma altre estensioni e aziende tecnologiche (incluse feature integrate in browser come Edge e Opera) sono state accusate di pratiche simili nel cambio dei link affiliati.
Insomma, volendo chiudere ricapitolando quanto emerso: si crea un’estensione gratuita promettendo risparmio ai consumatori; si investe in marketing massiccio per diffonderla, anche tra i minori; si raccolgono dati sensibili su scala industriale perché "dati=potere"; si intercettano le vendite inserendo link affiliati propri, sottraendo commissioni legittime; si indicizzano forzatamente shop online senza consenso, rendendo pubblici coupon privati; infine, quando lo shop protesta, si offre la "soluzione" a pagamento per riavere il controllo che è stato sottratto. Un ciclo che lascia davvero senza parole.
